瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】在线急等！！急死我了：木马病毒，杀了还有，附SREngLOG.log

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 23

3 / 3 页

跳转页

【求助】在线急等！！急死我了：木马病毒，杀了还有，附SREngLOG.log

初生襁褓狮

帖子:85
注册: 2006-01-06
来自:

发表于： 2006-10-10 17:34 | 只看楼主 短消息资料

字号：小中大 21楼

引用:

【不言放弃的贴子】【回复“pxzx1119”的帖子】
修复
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<xy><C:\WINDOWS\Download\svhost32.exe> [N/A]此处没有找到，（安全模式下，下同）

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\cnscheck100.dll> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62F1A}><C:\WINDOWS\system32\Cnscheck010.dll> [N/A]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

开始－－控制面板－－性能和维护－－管理工具－－服务
禁用如下服务：
[mms-up / mms-up]
[Workstatioc / Workstatioc]

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

开始－－运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services](X代表1,2,3,4....)
找到后删除如下文件夹：
mms-up文件夹
Workstatioc文件夹

依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Enum\Root\](X代表1,2,3,4....)
删除如下文件夹：
LEGACY_mms-up文件夹
LEGACY_Workstatioc文件夹此处无法删除
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

http://www.xfocus.net/tools/200605/1161.html
下载后打开IceSword
在工具栏中点击－－文件－－设置
勾选“禁止进线程创建”
然后结束如下进程：
d:\Program Files\Rising\Rav\CCenter.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\System32\hkcmd.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\dzh\internet\hypwise.exe
C:\Program Files\Internet Explorer\iexplore.exe

用IceSword删除
C:\WINDOWS\system32\cnscheck100.dll
C:\WINDOWS\system32\Cnscheck010.dll
C:\WINDOWS\system32\xydll.dll

在IceSword主界面点击左窗口中的“SSDT”按纽
用IceSword删除C:\WINDOWS\System32\new.sys此处找不到
删除完毕
把IceSword的“禁止进线程创建”前的勾去掉

附注：
使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178

＝＝＝＝＝＝＝＝＝＝

清空HOSTS文件

＝＝＝＝＝＝＝＝＝＝

开始－－运行
输入regedit
确定
进入注册表
依次搜索“前两个图片中的网址”此处搜索不到
找到后全部删除

＝＝＝＝＝＝＝＝＝＝＝

删除
C:\WINDOWS\SCVHOST.EXE
以及C:\DOCUME~1\pxzx01\LOCALS~1\Temp\下的所有文件及文件夹

若能找到如下文件
同样删除之
C:\WINDOWS\SCVHOST.dll
C:\WINDOWS\SCVHOSTkey.dll
C:\WINDOWS\SCVHOST_hook.dll

＝＝＝＝＝＝＝＝＝＝

提示：
若正常模式下无法解决
建议进入安全模式下操作
………………

另外：操作完后用3721反间谍专家完全扫描出3个可以项目：附图

附件:

文件名:64723920061010172634.JPG

下载次数:168

文件类型:image/pjpeg

文件大小:

上传时间:2006-10-10 17:34:50

描述:

pxzx1119 初生襁褓狮帖子:85 注册: 2006-01-06 来自:	发表于： 2006-10-10 17:35 \| 只看楼主短消息资料字号：小中大 22楼 2 附件: 文件名:64723920061010172741.JPG 下载次数:174 文件类型:image/pjpeg 文件大小: 上传时间:2006-10-10 17:35:57 描述:
pxzx1119 初生襁褓狮帖子:85 注册: 2006-01-06 来自:

枫枫神话初生襁褓狮帖子:101 注册: 2006-09-30 来自:	发表于： 2006-10-10 17:44 \| 短消息资料字号：小中大 23楼学习哈
枫枫神话初生襁褓狮帖子:101 注册: 2006-09-30 来自:

初生襁褓狮

帖子:85
注册: 2006-01-06
来自:

发表于： 2006-10-11 08:54 | 只看楼主 短消息资料

字号：小中大 24楼

引用:

【轩辕小聪的贴子】不言
那两个dll很菜的，没有注册表守护，删了注册表，重启后就可以干掉了，可以不用IceSword出手。不过遇上“刘麻子”的话就不那么简单了。
………………

“刘麻子”是什么东东？

社区嘉宾

帖子:30678
注册: 2004-09-17
来自:蓝色星球

发表于： 2006-10-11 12:30 | 短消息资料

字号：小中大 25楼

引用:

【pxzx1119的贴子】

“刘麻子”是什么东东？
………………

刘麻子是盗号木马

pxzx1119 初生襁褓狮帖子:85 注册: 2006-01-06 来自:	发表于： 2006-10-11 15:59 \| 只看楼主短消息资料字号：小中大 26楼 20楼所列没删除、没找到的今天全部揪出来了！爽啊！再次感谢“不言放弃 ”，帮我解决问题，又长了见识～还有一疑问：我打了所有漏洞补丁，安装有瑞星杀软、防火墙，下载东西先杀毒——木马是怎么进来的呢？
pxzx1119 初生襁褓狮帖子:85 注册: 2006-01-06 来自:

社区嘉宾

帖子:30678
注册: 2004-09-17
来自:蓝色星球

发表于： 2006-10-11 16:03 | 短消息资料

字号：小中大 27楼

引用:

【pxzx1119的贴子】20楼所列没删除、没找到的今天全部揪出来了！爽啊！
再次感谢“不言放弃 ”，帮我解决问题，又长了见识～

还有一疑问：我打了所有漏洞补丁，安装有瑞星杀软、防火墙，下载东西先杀毒——木马是怎么进来的呢？
………………

给系统打补丁是必需的
杀软与防火墙是辅助的
养成良好的上网习惯才是最重要的

现在是否已经明白？

＝＝＝＝＝＝＝

另外在注册表中无法删除某个系统服务文件夹
请这样操作：
在该文件夹上右击－－权限－－“允许”完全控制
然后再删除试试

不知是不是这样操作的？

初生襁褓狮

帖子:85
注册: 2006-01-06
来自:

发表于： 2006-10-11 16:12 | 只看楼主 短消息资料

字号：小中大 28楼

引用:

【不言放弃的贴子】

另外在注册表中无法删除某个系统服务文件夹
请这样操作：
在该文件夹上右击－－权限－－“允许”完全控制
然后再删除试试

不知是不是这样操作的？
………………

我是在ICESWORD里删除的——嘿嘿^_^

社区嘉宾

帖子:30678
注册: 2004-09-17
来自:蓝色星球

发表于： 2006-10-11 16:24 | 短消息资料

字号：小中大 29楼

引用:

【pxzx1119的贴子】
我是在ICESWORD里删除的——嘿嘿^_^
………………

呵呵
不错啊

ICESWORD是有这个能力

<<上一主题|下一主题>>

1 23

3 / 3 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】在线急等！！急死我了：木马病毒，杀了还有，附SREngLOG.log

【求助】在线急等！！急死我了：木马病毒，杀了还有，附SREngLOG.log

附件:

文件名:64723920061010172634.JPG 下载次数:168 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(29424); 上传时间:2006-10-10 17:34:50 描述:

附件:

文件名:64723920061010172741.JPG 下载次数:174 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(30696); 上传时间:2006-10-10 17:35:57 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】在线急等！！急死我了：木马病毒，杀了还有，附SREngLOG.log

文件名:64723920061010172634.JPG

下载次数:168

文件类型:image/pjpeg

文件大小:

上传时间:2006-10-10 17:34:50

描述:

文件名:64723920061010172741.JPG

下载次数:174

文件类型:image/pjpeg

文件大小:

上传时间:2006-10-10 17:35:57

描述: